CVE-2025-11186CVE-2025-11186是WordPress平台下Cookie Notice & Compliance for GDPR/CCPA插件的一个高危安全漏洞。该插件用于帮助网站实现Cookie合规性(符合GDPR和CCPA要求),在全球WordPress站点中广泛应用。漏洞源于cookies_accepted短代码功能对用户输入属性的处理存在严重安全缺陷,由于缺少适当的输入清理和输出转义,攻击者可以在页面中注入恶意JavaScript代码。一旦恶意代码被注入成功,将永久存储在网站数据库中,所有访问该页面的用户都会自动执行攻击者植入的脚本。这种存储型XSS攻击可用于窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件,对网站和用户安全构成严重威胁。
该漏洞是一个典型的存储型跨站脚本(Stored XSS)漏洞,位于插件的cookies_accepted短代码处理逻辑中。问题根源在于插件对短代码属性的处理缺乏安全意识,当用户通过短代码方式调用插件功能并传递自定义属性时,插件直接将用户输入嵌入到HTML输出中而未进行任何转义处理。攻击者只需在短代码中构造恶意JavaScript payload,如在属性值中包含<script>标签或事件处理器(如onerror、onload等),这些恶意代码就会被永久保存在页面内容中。当其他用户访问包含恶意代码的页面时,浏览器会将其作为合法内容执行,从而完成攻击。由于插件的短代码功能在WordPress页面和文章中广泛使用,攻击者可以利用贡献者及以上权限轻易地在多个页面植入恶意代码,实现大范围攻击。